миленько

а тыкать пробовал? так да забавно смотрится

да потыкал

конечно я не вспомню про него когда_будет_нужно но вдруг

@marinintim будет жить. Поприветствуем!

Граф Атос будет жить. Поприветствуем!

@hullabaloom будет жить. Поприветствуем!

Коллеги

Почти пятничный тред есть: насколько безопасно использование docker machine

Основной вопрос: может ли злоумышленник каким-либо образом управлять сервером с докерами? В MitM атаке, например?

Понятно, что поимев доступ к локальной машине или к серверу - это уже не вопрос. А вопрос именно про открытый наружу порт, и всё вот в этом духе

Порты в любом случае закрывать нужно

tcp/2376 емнип

Основной вопрос: может ли злоумышленник каким-либо образом управлять сервером с докерами? В MitM атаке, например?

https://success.docker.com/article/how-do-i-enable-the-remote-api-for-dockerd если так делаешь то через апишку да

если с ssl ca - безразлично

Порты в любом случае закрывать нужно

Ок, а есть ли возможность пустить траффик через ssh, например?

https://success.docker.com/article/how-do-i-enable-the-remote-api-for-dockerd если так делаешь то через апишку да

Мило :)

если с ssl ca - безразлично

Вот я тоже думаю что с ssl открытый порт не является проблемой

если самоподписный то считай что нет

@lain0 тут говорят что лучше порт всё-таки не открывать наружу

если самоподписный то считай что нет

Почему?

если самоподписный то считай что нет

если CA и валидируешь УЦ - то без разницы

если самоподписный то считай что нет

Меня интересуют подробности и конкретные случаи взлома при использовании самоподписанного сертификата

если CA и валидируешь УЦ - то без разницы

часто такое видел не у себя в продакшене?

часто такое видел не у себя в продакшене?

эм, несколько внутренних УЦ имеем с валидацией

у меня даже VPN до личного VPS так

эм, несколько внутренних УЦ имеем с валидацией

НЕ У СЕБЯ

Меня интересуют подробности и конкретные случаи взлома при использовании самоподписанного сертификата

200 евро\час

а как тогда вообще юзать docker-machine удалённо тока через vpn ?

ERROR: S client not available

200 евро\час

В смысле?

НЕ У СЕБЯ

эм, у меня не продакшен, ну….

эм, у меня не продакшен, ну….

да какая разница, люди такую дичь творят, например по дефолту докер когда ставится слушает сокет, товарищ идет качает роль для ансибл с гитхаба, а там https://success.docker.com/article/how-do-i-enable-the-remote-api-for-dockerd и привет

ну так я про то, что если закрыть ssl + ca то норм

а то что люди наружу редисы, докеры и мемкэши голым задом выставляют в сеть - другая история

200 евро\час

Что там с сертификатами самоподписанными?

а то что люди наружу редисы, докеры и мемкэши голым задом выставляют в сеть - другая история

@lain0 хочет использовать docker machine. но боится наружу высовывать порт. собственно, он интересовался можно ли траффик завернуть в ssh? или следует ходить через vpn ?

Насколько я понял, если сверять данные сертификата, пусть даже самоподписанного, то можно вполне себе использовать открытый порт и ssl

Но меня скорее интересуют конкретные практики использования :)

Ну как меня... @lain0 интересуется :)

https://docs.docker.com/engine/security/https/#create-a-ca-server-and-client-keys-with-openssl

Насколько я понял, если сверять данные сертификата, пусть даже самоподписанного, то можно вполне себе использовать открытый порт и ssl

всё верно

кстати говоря, если накатывать через docker-machine - сразу будет с ssl =)